Je suis avocate spécialisée en droit des données personnelles chez BOLD, cabinet spécialisé dans les start-ups. Nous avons pu croire un temps que la CNIL (l’autorité de protection des données personnelles françaises) réservait une sorte d’indulgence aux start-ups, du fait de leur taille et de leur date de création récente. Ces derniers temps, nous avons remarqué davantage de contrôles CNIL chez nos clients, puis les décisions sont tombées à l’égard de tous types d’entreprises, dont des start-ups, comme l’ont notamment montré les décisions Nestor et Performeclic. Parmi nos clients ayant fait l’objet de contrôles, certains avaient seulement deux ans d’existence.

Cela fait désormais plus de trois ans que le Règlement général sur la protection des données (RGPD) est entré en application. Une chose est sûre, la CNIL a décidé que le délai de grâce était fini.

C’est comme cela que je me suis retrouvée à conduire mon premier contrôle CNIL, donnant lieu à une audition à la CNIL. En effet, il existe plusieurs sortes de contrôles CNIL :

–       Le contrôle sur place : il s’agit d’un contrôle inopiné dans les locaux de l’organisme contrôlé. Cela signifie que l’organisme contrôlé n’est pas prévenu à l’avance de la tenue d’un contrôle.

–       L’audition sur convocation, qui fait l’objet de cet article.

–       Le contrôle en ligne : les agents de la CNIL consultent les données librement accessibles ou rendues accessibles, c’est-à-dire souvent le site internet de l’organisme contrôlé, en se comportant comme tout internaute.

–       Le contrôle sur pièces : il consiste en l’envoi d’un questionnaire à l’organisme visé, par courrier recommandé avec accusé réception. Ce questionnaire est destiné à recueillir des éléments d’information ainsi que des pièces et documents justificatifs.

Selon le rapport d’activité 2020 de la CNIL, celle-ci a réalisé un total de 247 contrôles en 2020 dont 72 sur place, 19 sur audition, 82 en ligne et 74 sur pièces.

Pour ma part, il s’agissait d’une audition sur convocation qui suivait un contrôle en ligne.

Alors que les #jesuispasséparuncab florissaient sur Twitter en début d’année, faisant état d’expériences traumatisantes en cabinets d’avocats, j’ai la chance d’être chez BOLD où Eléonore Zahlen, associée spécialisée dans les problématiques data/IP/IT, m’a fait confiance pour mener ce contrôle CNIL, majoritairement seule, à la veille de mes trente ans.

Lorsque vous êtes convoqué pour une audition à la CNIL, cette dernière doit vous envoyer la convocation au minimum huit jours avant la date de l’audition. Du fait des lenteurs administratives dues au Covid, notre cliente n’a pas reçu la convocation dans les délais, ce qui nous a permis de reporter la date de l’audition et ainsi de gagner du temps.

Pourquoi gagner du temps ? Lors d’un contrôle CNIL, la CNIL a pour objectif de vérifier que les données sont traitées par l’entreprise en conformité avec la loi Informatique et Libertés et le RGPD et notamment de s’assurer que :

–       le traitement mis en œuvre ne porte pas atteinte aux droits et libertés des personnes dont les données personnelles sont traitées ;

–       les organismes répondent au principe d’accountability impliquant notamment la mise en place d’un registre recensant les traitements mis en œuvre et en ayant effectué, lorsque c’est nécessaire, une analyse d’impact relative à la protection des données.

L’objectif est de démontrer principalement sa conformité au RGPD. La CNIL envoie une convocation à l’audition accompagnée d’un procès-verbal du contrôle effectué en ligne. En effet, à tout moment, la CNIL peut faire un contrôle inopiné sur votre site internet à distance en vérifiant sa conformité au RGPD, notamment par la présence d’une politique de confidentialité, politique cookies, mentions d’information, bandeau cookies, etc.

Contre toute attente, ce procès-verbal de contrôle est très factuel, faisant état des captures d’écran relevées pendant le contrôle en ligne mais ne donne pas d’indications détaillées quant aux manquements relevés. Dans notre cas, ce procès-verbal de contrôle précisait que le contrôle avait porté sur deux points d’attention qui étaient (i) la pertinence des données et (ii) la sécurité des données.

Dès la réception de ce procès-verbal de contrôle et de la date de convocation à l’audition à la CNIL, nous avons mis en place un plan d’actions pour aboutir à une mise en conformité RGPD express, nous permettant notamment de rassembler l’ensemble des documents demandés par la CNIL comme les contrats conclus avec les sous-traitants (Data Processing Agreements – DPA) et d’établir le registre des traitements.

Nous avons donc passé en revue toutes les étapes d’une mise en conformité RGPD pour :

–       vérifier ce qui était mis en place et ce qui ne l’était pas pendant des entretiens d’audit, où nous avons notamment détaillé le processus d’inscription sur le site de notre cliente, tel qu’il avait été vu par la CNIL,

–       dresser le registre des traitements, exigé par la CNIL, qui indique notamment quelles données sont traitées et quels sont les sous-traitants utilisés,

–       mettre en place les éléments de conformité au RGPD qui nous paraissaient manquer.

Cela a fait l’objet d’un travail minutieux qui a mobilisé l’ensemble de l’équipe Data du cabinet.

Pour contextualiser, chez BOLD, en règle générale, une mise en conformité RGPD prend au total deux à trois mois. Or, quand la CNIL convoque un organisme pour une audition, le délai qui s’écoule entre la réception de la convocation et le jour de l’audition varie environ entre trois semaines et huit jours, qui sont des délais très courts pour se mettre en conformité RGPD si rien n’a encore été amorcé ou que seuls certains éléments ont déjà été effectivement mis en place, même pour une start-up traitant peu de données à caractère personnel. Ce délai réduit pour effectuer la mise en conformité RGPD conduit donc à une désorganisation chez le client, qui doit mobiliser des ressources à temps plein ou presque pour préparer la mise en conformité. De plus, cette mise en conformité RGPD ne pouvant être que partielle étant donné le temps réduit pour la réaliser. C’est pourquoi nous ne vous recommanderons jamais assez d’anticiper votre mise en conformité RGPD et de ne pas attendre que la CNIL vienne frapper à votre porte pour la commencer.